暗号 処理 回 路 は , それ 単体 で 1 チッ プ 化 され る こと は 少な く な 
り , 今日 で は シス テム LSI に 組み 込ま れ て 使わ れる 場合 が 大 半 で 
す . シス テム LSI の 実装 に は , FPGA を 使う ケー ス も あり ます 
が , 通常 は スタ ンダ ー ド ・ セ ル ( セ ル ・ ベ ー ス 1IC) を 使い ます . 
また , 暗号 の 種類 に つい て , 電力 解析 の 学術 論文 で は 旧来 の 
DES (Data Encryption Standard) が よく 使わ れ て いま す 
が , 実務 で は AES (Advanced Encryption Standard) な ど 
へ 移行 し て いま す . 本 稿 で は , こう し た 動向 を 受け , 一 般 の シ 
ステ ム LSI 設計 に お ける 電力 解析 攻撃 へ の 対策 方 針 と , シス テ 
ム LSI 上 の AES 暗号 回 路 の 攻撃 対策 法 を 紹介 し ます . (著者 ) 


電力 解析 攻撃 は 1 は , 暗号 回 路 実 装 の 研究 に お いて , ここ 
数 年 ホッ ト な 話題 で す . 暗号 数 理 の 高度 な 知識 や 高価 な 機 
器 を 用 いな く て も 攻撃 可能 と いう 点 で 驚く べき テー マ で あ 
り , 暗号 研究 者 以外 の 人 に も 比較 的 知ら れる よう に な っ て 
きま し た . 


1 実 設計 時 の 電力 解析 攻撃 と 対策 


ここ で , 電力 解析 攻撃 に つい て 簡単 に お さら いし ます 
( 図 1). お お か た の 回 路 で は , その 動作 中 の 電力 波形 は , 
処理 する デー タ の 値 や 回 路 構造 に 依存 し て 決ま り ま す . こ 
の 性 質 を 利用 し , 電力 波形 の 測定 結果 か ら , 暗号 回 路 に セ 
ッ ト さ れ て いる か これ も デー タ の 一 種 ) を 推定 する の が , 
電力 解析 攻撃 で す . 


注 1: 本 稿 で は , SPA simple power analysis), DPA differential power 
analysis), EMA electromagnetic analysis) , DEMA differential 
electromagnetic analysis) な ど を 総称 し 電力 解析 攻撃 」 と 呼ぶ こと 
に する . 


ステ ム LSI 設計 に お ける 
A 対策 の 指針 と 
S 暗号 の 対策 例 


ーー 対策 の 有効 性 と 回 路 コ スト の バラ ンス を じょう ず に と る 


称 岡 澄夫 


人 @ 学術 論文 と 通常 の LSI に は 多く の ギャ ヤッ プ が ある 

言う まで も な く , 学術 論文 と 通常 の シス テム LSI の 間 に 
は , 設計 条件 な ど に か な り の ギャ ッ プ が あり まず 表 1). 
学会 で 発表 され る 攻撃 対策 洲 以下 , 単に 対策 法 ) に は , コ 
スト が か か り 過ぎ た り , ある い は シス テム LSI 設計 の 観点 
か ら は 非 現実 的 で あっ た りす る 場合 が あり ます . 攻撃 に 過 
度 に お び え て 回 路 コ スト を 不 必要 に 跳ね 上 げ る 対策 法 を 使 
う の も , 逆 に , すっ か り 無関心 に な っ て 何 も 対 策 し な い の 
も , どちら も 好ま し く ありま せん . 

通常 の シス テム LSI 設計 で どう 対策 に 取り 組む べき か , 
確立 され た 方 法論 は まだ あり ませ ん . 本 稿 で は , 筆者 の 私 
見 を 記し ます . あく まで , 個人 的 な 見 解 で す の で , みな さ 
ん が 自分 の 設計 に 適用 する と き は , よく 吟味 し 直し て くだ 
さい . 


電力 波形 は , 処理 デー タ , 図 
か ぎ 回 路 構造 な ど に 依存 し て 決ま る 図 


暗号 化 か ぎ 図 


e デー タ 値 と 電力 波形 か ら , か ぎ を 推定 較 

e 波形 は 電流 計 で 直接 測っ て も よい し ( SPA, DPA), 電磁 波 で 間接 
的 に 測る こと も 可能 EMA, DEMA) 図 

e 処理 時 間 の 変化 か ら , か ぎ が わか る 場合 が ある タイ ミン グ ・ アタック) 図 

e 1 回 の 演算 処理 波形 か ら , か ぎ が わか る 場合 が ある SPA, EMA) 較 

e 多数 回 の 演算 処理 の 平均 波形 か ら , か ぎ が わか る 場合 が ある (DPA, 
DEMA) 図 


図 1 電力 解析 攻撃 の 概要 


暗号 処理 回 路 CPU で も 専用 回 路 で も よい ) の 電力 波形 が , 入力 デー タ や か 
ぎ , 回 路 構造 な ど に 依存 する こと を 利用 し て , 電力 波形 か ら か ぎの 値 を 推定 
する . どの よう な 方 法 で 推定 する か は , いろ いろ バリ エー ショ ン が ある . 
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表 1 研究 レベ ル と 通常 の シス テム LSI 設 計 の ギャ ッ プ 

電力 解析 攻撃 と 対策 の 研究 が 盛ん だ が , 学術 研究 は 自由 な 仮定 の も と , さま ざま な 手法 を 探る も の な の で , 通常 の シス テム LSI 設 計 の 条件 と は ギャ ッ プ が ある . 
一 般 的 な シス テム LSI に は と て も 使え な い 手 法 の 提案 も 多い が , LSI の 設計 ルー ル も 攻撃 手法 も 時 代 と と も に 変化 する の で , 「 研究 は 役に立た な い 」 と 全部 無視 し 
て し まう の は 危険 . な お , 現時 点 に お いて , 90nm な どの 微細 プロ セス で 製造 し た シス テム LSI を , 実際 に 電力 解析 攻撃 で きた と いう 報告 は , 筆者 は 聞い た こと 


が な い . 防御 法 に つい て も , 当然 な が ら 完ぺき な も の は 存在 し ない. 


研究 レベ ル の 話 


通常 の シス テム LSI 


備 考 


暗号 回 路 の サイ ズ チッ プ 全 体 ま た は 大 半 


ご く 一 部 


シス テム LSI で は , 暗号 回 路 の 消費 電力 は , 
ほか の 回 路 の それ に 隠さ れ て し まい が ち 


FPGA も し く は 旧 プ ロ セ ス で 評価 05 


AS m で 025 ん m な ど ) 


最新 の も の は 9Onm ~ 65nm の 設 
計 ル ー ル で 製造 


微細 化す る と , 消費 電力 も チッ プ 上 の 面積 も 
小さ く な る の で , 攻撃 は 難し く な る 


暗号 部 に は 専用 の セル ・ ラ イブ ラリ が 
使え る 


デ テグ 回 ライ ラッ ラリ 


暗号 部 だ け 別 ライ ブラ リ で 設計 す 
る こと は , まず 不可 


8 どれ だ け 下 位 で も 可 
Mod (トラ ンジ スタ ・ レ ベル な ども 可 ) 


通常 は RTL が 最 下 位 . 今後 は , ビ 
ヘイ ビア 合成 の 利用 も 考え られ る 


非同期 論理 回 路 使用 可能 dual rail 方 式 な ど ) 


原則 , 使用 不可 


回 路 の 処理 クロ ッ ク 数 動 的 に ラン ダム に 変え て よい 


原則 , 固定 し た い 


シス テム 処理 性 能 が 予測 不能 で は 困る 


5 、 | 了 号 IP の 入出 力 デー タ 値 を , 外部 で 観 
デー 人 平文, 暗号 文 ) の 観測 | 和 W で ミ 。 ょ た は 外部 か ら 制 御 で きる 


暗号 IP の 入出 力 は , 外部 か ら 観 
測 も 操作 も で き な い 場合 が 多い 


デー タ 値 が 不明 で も 攻撃 可能 な 場合 が ある , 
と の 報告 が 最近 あっ た 


一 度 セ ッ ト したら, ずっ と 同じ 値 の ま 


暗号 の か ぎ 設 定 ま と 仮定 する 


シス テム に よっ て は , どん どん か 
ぎ を 切り 変え て も よい 場合 が ある 


DPA, DEMA に お ける か ぎ 導 出 に は , 同一 
か ぎ で , 数 百 回 以上 の 暗号 処理 が 必要 


どの よう な 微小 電力 , 高速 変化 で も 測 
定 可 と 仮定 する 


電力 の 測定 精度 


微小 , ま た は 高速 な 変化 は , 安 1 
な 装置 で は 測定 不能 


信 電力 解析 攻撃 は シス テム LSI に と つて 背 威 な の か ? 
シス テム LSI と いっ て も 多種 多様 で あり , 電力 解析 攻撃 が 
界 威 な の か どう か , 断定 的 に " Yes”, “No' を 言う こと は で 
きま せん . し か し , 少々 粗い 議論 で す が , 以下 の 条件 を い 
く つか 満た す な ら ば , 今 す ぐ の 脅威 と は な ら な いで し ょ う . 
e90nm や 65nm と いっ た 最近 の 微細 プロ セス の スタ ンダ 
ー ド ・ セ ル を 使っ て いる 一 一 微細 プロ セス で は , 暗号 回 
路 の 平均 消費 電力 は 数 百 ん W て 十 数 mW の オー ダ に な 
り , し か も リー ク 電 流 な どの 割合 が 高い . 電力 解析 攻撃 
に 使え る の は ゲー ト の スイ ッ チ ング 動作 に よる 消費 電力 


の うち , デー タ 値 に 依存 し て 変わ る 電力 差 で ある が , そ 
れ は 数 W て 数 百 /W と いっ た 微小 な も の に な る 芋 2. 

e 暗号 処理 部 が 回 路 全 体 の ご く 一 部 で ある ( 図 2) 一 一 全体 
の 消費 電力 か ら 暗号 処理 の 分 を 抽出 する た め に は , 多量 
の デー タ ・ サン プリ ング が 必要 に な る . 

e 暗号 演算 を 専用 回 路 で 行っ て いる 一 一 CPU で 行っ て い 
る な ら ば 攻撃 され や すい か も し れ な い . 一 般 に , プロ セ 
ッ サ 処理 は 電力 解析 攻撃 に 弱い と いう 傾向 が ある . 

e か ぎ を 頻繁 に 変更 し て いる 一 一 DPA や DEMA で は , 同 
じ か ぎ の まま で , 暗号 演算 を 最低 数 百 回 は サン プリ ング 
する 必要 が ある . 

e 暗号 処理 が いつ 行わ れ て いる か を 正確 クロ ッ ク 精 度 
で ) と ら え る こと が 難し い 一 一 これ が わか ら な いと , ど 
の 時 点 の 電力 波形 を と サン プル し て よい か わか ら ず , 攻撃 
で き な い . た だ し , 暗号 処理 実行 の タイ ミン グ を 割り 出 
す よ うな 方 法 の 研究 も 行わ れ て いる . 

e 暗号 処理 の 入出 力 デー タ 値 平文 や 暗号 文 ) を チッ プ 外 部 
か ら 直接 観測 で き な い , も し く は 外部 か ら 制御 で き な い 
ーー た だ し , それ で も 適用 で きる 攻撃 法 の 研究 も ある . 
以上 の 条件 か ら 大 きく 外れ る 場合 , 電力 解析 攻撃 は 脅威 

と な りえ ます . も ちろ ん , ある 製品 に 搭載 し た シス テム LSI 


600 万 ゲー ト の ダイ 1 マス 3 万 ゲー ト ) 図 


し AES コ ア の サイ ェ 叶 


2 一 般 的 な シス テム LSI で は , 攻撃 の 対象 と な る 暗号 IP は 全体 の 
ご く 一 部 で し か な い 
電力 解析 攻撃 の ター ゲッ ト は , AES や RSA と いっ た 暗号 処理 部 で ある . CPU 
で な く 専用 回 路 で 暗号 演算 を 行う 場合, どの よう な 暗号 で も 2 万 4 万 ゲー 
ト 程度 の 回 路 規模 な の で , シス テム LSI 全体 の うち , 図 に 示す 程度 の 割合 し 
か な い . また , 65nm や 90nm と いっ た 微細 な プロ セス で は , 暗号 回 路 の 平 定 っ ・ Fi 詩 認 ヾ [ 役 小 雷 力 だ か ら EE ュー アン で 
0 注 2: し ば し は 誤解 され る が ,「 微小 電力 だ か ら 攻撃 で き な い 」 と いう こと で 
均 消費 電力 は 数 百 ん W 一 十 数 mW し か な い . し た が っ て , 暗号 処理 を 専用 回 は な い . 十分 に 精密 な 電力 測定 環境 を 日 意 し , 上 分 に 多量 の デー タ 8 
路 で 実行 し て いる か ぎり , 電力 解析 攻撃 は 現状 で は 相当 難し く , 今後 は さら サン プリ ング を 行え る な ら ば , 攻撃 その も の は 可能 で ある . その た め 
に 難易 度 が 上 が る 傾向 に ある . た だ し , CPU で 暗号 演算 を 行っ た り , FPGA に か か る コス ト が 現実 的 な も の か どう か が , 脅威 か 否 か の 判定 基準 で 
を 使っ た り , ある い は 古い プロ セス を 使う な ら ば 話 は 別 で ある . ある . 


RSA コ ア の サイ ズ 
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上 PST を : 途 陸 z か ら 下 る 


困 回 員 ペ の サイ ドラ マネ ル 攻 加 と その 対策 


が 現時 点 で 攻撃 で き な く て も , 本 な っ て 攻 ど に よっ て , 動作 タイ ミン グ や 回 路 構成 を 隠ぺい し て いく 
撃 さ れ て 問題 と な る リス ク は あり ます . に つい て は 正 方 向 で 進ん で いま す . し か し , これ ら が まさ に 電力 解析 攻 
確 に 予測 で きま せん . 撃 で ね ら わ れる 部 分 な の で す . 高位 設計 ツー ル 任 せ で 回 路 

を 設計 する と , 攻撃 が 容易 に な る 可能 性 が ある こと を 知っ 
信 対策 法 に は シス テム LSI 設計 と 相 い れ な いも の も 多い て お いて 損 は な いで し ょ う . この 点 に つい て は , 後 で 例 を 

電力 解析 攻撃 に 対す る 対策 法 に は , 大 きく 分 け て 次 の 三 示し て 説明 し ます . 
つの アプ ロー チ が あり ます . 

暗号 回 路 の 消費 電力 が デー タ 値 に よら ず 一 定 に な る よう @ 実 設計 時 に お ける 六 つ の 対策 指針 

に する 暗号 専用 の セル ・ ラ イブ ラリ の 利用 や , 非 同 で は ここ で , シス テム LSI 設計 に お いて 電力 解析 攻撃 に 

期 回 路 dual rail 方 式 ) の 利用 , レイ アウ ト の く ふ うな ど どの よう に 対応 する か , 筆者 の 私 見 を 整理 し ます . 

e 電力 波形 と デー タ 値 の 相関 関係 を か く 乱す る ーー ラン ダ 1) 対策 は いわ ゆる 保険 」 と 同じ よう に 考え る . 扱う 情 

ム ・ マ スク 手 洲 詳細 は 第 2 章 , Appendix を 参照 ) な ど 報 に どれ だ け の 価値 が あり , 何 年 後 まで 守る べき 情 
e 電力 波形 を 時 間 軸 上 で 変形 させ る 一 一 演算 処理 時 間 を ラ 報 で , 攻撃 し て くる の が だ れ で , セキ ュ リ ティ が 破 

ンダ ム に 変え る , 非同期 回 路 の 利用 な ど れ た 場合 の 被害 は 何 か , と いっ た 点 か ら 対策 に 払う 

より 正確 な 分 類 や 各 対 策 法 の 詳細 に つい て は , 参考 文献 コス ト を 決め る . 

( 1),( 2) な ど を 見 て くだ さい . ほとん どの 対策 法 は , 2) 今 の と ころ , 電力 解析 攻撃 な ど よ り も , シス テム LSI 
9 に な る , クリ ティ カル ・ パ ス 遅 延 が 数 倍 に の アー キテ クチ ャ 設計 や ソフ ト ウェア 実装 に 由来 す 

, 消費 電力 が 数 倍 に な る , 人 る 騰 弱 翌 バッ ファ ・ オ ー バ フロ ー な ど ) の ほう が 上 緊 
な る , と いっ た 何かしら の 悪影響 を 及ぼ し ます . 急 の 脅威 で ある . 

回 路 規 模 や 速度 と いっ た 量 的 な 影響 だ ひけ な ら ば , まだ マ 3) 理論 的 に 100% 完全 な 対策 法 は 知ら れ て いな い . し 
シ な ほう だ と 言え ます . 研究 レベ ル の 対策 法 の 中 に は , 現 か し ,「 完ぺき で な い 対 策 は むだ 」 ど "all or nothing” 
在 の シス テム LSI 設計 手法 と 相 い れ な いも の も あり まず 表 で 考え る の は よく ない. 対策 に よっ て 攻撃 の 難易 度 
1). 例え ば , 非同期 回 路 や 暗号 専用 カス タム ・ セ ル , ある を 引き 上 げ る こと に 大 き な 意 味 が ある を せ 3. 

い は 特殊 な レイ アウ ト 手法 を 用 いた り する 対策 法 は , 通常 4) 対策 と し て も っ と も 有効 な の は , プロ セス 微細 化 と 
の シス テム LSI 設計 に お いて は 設計 技術 と 開発 体制 の 両面 専用 回 路 化 で ある . シス テム LSI で 行う セキ ュ リ テ 
か ら 容 認 し が た いも の で し ょ う . これ ら の 方 法 を チッ プ 全 ィ 関 連 処 理 の うち , 最低 で も 暗号 演算 だ け は CPU で 


体 で な く 暗号 回 路 部 だ け に 用 いる こと も ,「 回 路 開 発 上 の 
リス ク << で セキ ュ リ ティ 上 の リス ク 」 で ある と うま く 説明 で 
き な い か ぎり は , 認め られ な い ケ ー ス が 多い の で は な いか シス テバ セッ ト ) 設 計 図 
と 思い ます . 


号 化 方 法 な ど を 検討 し , 較 
か ぎの 交換 頻度 を 高め る 較 


Es ソフ トウ ェ ア と ハー ドウ ェ ア の 較 
_ シス テム LSI 凶 | 分担 を 適 切 に 行い , 暗 号 演算 は 較 
アー キテ クチ ャ 設計 図 ハー ド ウェア で 実現 図 


@ 時 代 逆行 (?) は し か た の な い 面 も ある 
拓 シス テム LSI の 動向 と 相 い れ に くい 一 面 が ある RTL 設 計 区 対策 済み の 暗号 演算 アル ゴリ ズム を 使う 較 
こと は , ある 程度 は や む を えま せん . 攻撃 を 防ぐ た め に は 
電力 波形 を 適切 に 制御 する 必要 が あり ます が , そう し よう 人 
と すれ ば , 回 路 の 動作 タイ ミン グ や 論理 構成 に 細心 の 注意 
を 払わ ざる を えな く な る か ら で す . トラ ンジ スタ ニレ ペル 生命力 一定 化 し た カス タム ・ セル な ど 

シス テム LSI 設計 技術 は , ビヘイビア 合成 や 論理 合成 な 


セル 設計 図 


図 3 電力 解析 攻撃 の 防御 の た め の 各 設計 レベ ル に お ける 検討 事項 


注 3: 電力 解析 攻撃 が 注目 され る の は , オシ ロス コー プ と 簡単 な プロ グラ ム 上 位 設計 レベ ル ほ ど , 個々 の シス テム に 固有 な 対策 と な る . 下位 レベ ル の 対策 
を 用 意 す る だ け で 多数 の 人 が 攻撃 に 参加 し うる か ら で あ る . 実際 の シ 法 は 一 般 的 な シス テム LSI の 設計 で は あま り 使 え ず , RTL か ゲー ト ・ レ ベル ま 
ステ ム 設 計 で は , セキ ュ リ ティ の 専門 家 で な い 人 が 今後 5~ 10 年 ほど で が 実質 的 な 下限 で ある . どこ か ー つ の レベ ル で 完ぺき な 対策 を 打 と うと する 
攻撃 で き な い レベ ル ま で 対策 すれ ば 十分 , と いう 場合 が 多い . の で は な く , 複数 の レベ ル で 複合 的 に 対策 する ほう が よい . 


Design Wave Magazine 2006 February 127 


な く 専用 回 路 で 行 2 それ だ け で 攻撃 は 数 段 難し く な 
る ). その うえ で , 発表 され て いる 対策 法 を コス ト に 


見 合う 範囲 で 施し て お く . 

ー つ の 対策 に 頼り 切ら ず , 複数 の 対策 を 併用 する 
3). ガー ド を 増やす 意味 合い が ある . また , ある 設 
計 レ ベル だ け で 対策 し よう と する と コス ト が か か る 
が , 別 の レベ ル で 対策 すれ ば 簡単 に 済む , と いう こ 
So 
シス テム LSI の 標準 設計 フロ ー か ら 大 きく 外れ る 対 
策 法 は , で きる だ け 避 ける . 上 流 設計 レベ ル の 対策 
を メイ ン と し 詳細 は 後述 ),) バッ クエ ンド で の 対策 
法 は 避け る ほう が よい . 


5 


ドン 


6 


トニ 


の > ュ レ ーション に よる 電力 解析 


次 に , シス テム LSI 用 暗号 回 路 の 具体 的 な 電力 解析 攻撃 
対策 に つい て 説明 し ます . 


人 @ 設計 の 上 流 工程 で 電力 波形 を 予測 し た い 

シス テム LSI に 暗号 処理 回 路 を 搭載 する 場合 , 施し た 攻 
撃 対策 の 有効 性 を , 設計 の 上 流 工程 で ある 程度 確認 する 必 
要 が あり ます . 回 路 の 速度 や 規模 な ど と 同じ こと で す が , 
実 チ キップ に な る まで まっ た く 評価 で き な い と いう の で は , 
非常 に 還っ て し まい ます . 


図 4 

シス テム LSI 用 暗号 回 路 の 電力 波 
形 の 疑似 測定 環境 

シス テム LSI に 搭載 する 暗号 回 路 に つ 
いて は , 電力 解析 攻撃 対策 が 有効 か 
どう か を , チッ プ 作 成 前 に 評価 し た 


評価 の た め に は , 回 路 の 電力 波形 を な ん ら か の 方 法 で 予 
測 す る 必要 が あり ます . と ころ が , 回 路 の 速度 や 規模 な ど 
と 異な り , 電力 波形 を 予測 する よう な EDA ツール は あま 
り あり ませ ん 平均 スイ ッ チ ング 確率 を 与え て 平均 消費 電 
力 を 見 積もる ツー ル は よく ある が , 攻撃 対策 の 評価 に は 使 
えな い ). 
な お , FPGA に よる プロ ト タイ ピン グ は 電力 解析 攻撃 の 
評価 に 適し て いる と は 言い 難い も の で す . こと 暗号 回 路 の 
消費 電力 に つい て は , FPGA と スタ ンダ ー ド ・ セ ル で は 挙 
動 が 大 きく 異な る た めで す ぜ 5. 


⑱ シミ ュ レ ーション を 使っ た 電力 波形 予測 

図 4 に , 広く 普及 し て いる EDA ツー ル を 使っ て 予測 波形 
を 作る 方 法 を 紹介 し ます . ここ で 行 お うと し て いる こと は , 
論理 ゲー ト の スイ ッ チ ング 回 数 の 変化 を 電力 波形 と みな 
OR それ 自体 は 別に 目新し く あ り ま せん . 
具体 的 な 手順 と し て は , まず 暗号 回 路 を 論理 合成 し て ネ 
ッ ト リ スト と SDRK 回 路 遅 延 情 報 ) を 作成 し , 遅延 シミ ュ 
レー ショ ン を 行い ます . これ に より , ゲー ト の スイ ッ チ ン 
グ ・ ロ グ が 得 ら れる の で , 一 定時 間 間 隔 値 は 任意 ) で 累 
算 し た スイ ッ チ ング 回 数 の グラ フ を 作る と , それ が 予測 電 
力 波形 と な り ま す . スイ ッ チ ング ・ ロ グ は , VCU yalue 
change dump) と 呼ば れる シミ ュ レ ー タ 非 依存 の 統一 

ー マ ッ ト で 生成 する と 扱い や すい で し ょ う ( 図 5). な お , 


40 疑似 の 電力 波形 凶 


30 


20 『 


い . と くに 暗号 回 路 で は , FPGA プ 
ロト タイ ビング に よる 評価 より , 回 
路 シ ミュ レー ショ ン に よる 評価 の ほ 
う が ず っ と 正確 と 思わ れる . も ちろ 
ん , シミ ュ レ ーション 上 で 攻撃 で き 
な か っ た か ら と いっ て , 安全 が 保証 
され る わけ で は な い . シミ ュ レ ー シ 
ョ ン は あく まで , 防御 法 の 有効 性 確 
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一 定 の 時 間 間 隔 で 凶 
スイ ッ チ ング 回 数 を 累積 較 
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PIN 


認 の 補強 材料 で ある . E TDIBIggsseg 


還 __、、、、、、 、 2 ッ チ <・ 記 ) M 
| ( VCD な ど ) 


注 4: 例え ば , 1 回 


号 処理 する た びに か ぎ を 変更 で きる よう な シス テム だ っ た と し で それ だ け で DPA 攻撃 や DEMA 攻撃 は 
5 お は 0 スリ セル 設計 な ど で 対 策 し て も , コス ト と リス ク が 増え る だ け で ある . 


ま ぼ 無 理 に な る ), これ を 知ら な い 


注 5: XOR 演 算 が 多用 され る 暗号 回 路 は , FPGA の 基本 プリ ミ ティ ブ で ある LUI look-up table) と 相性 が 悪い . その た め , 同じ RTL で も , マッ ピン グ 後 の 回 路 


構造 が スタ ンダ ー ド ・ セ ル の 場合 と 著しく 異な っ た も の に な る . 
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仮 配線 を 施し て か ら 選 延 情報 の バッ ク ・ ア ノ テ ーション や 人 @ AES 暗号 回 路 に 対す る DPA 攻撃 の シミ ュ レ ーション 


SPICE シ ミュ レー ショ ン な ど を 行え ば , より 実際 に 近い 流 AES 暗 号 回 路 の 予測 電力 波形 を 実際 に 作成 し て みた 例 
形 に な り ま す . を , 図 7 に 示し ます . 得 ら れ た 波 葉 図 7 の 下段 ) に 対し て , 
も ちろ ん , 得 ら れ た 電力 波形 は , 実 回 路 に お ける 波形 と 電力 解析 攻撃 を 行う こと が で きま す . 

は 異な り ま ず 図 6).「 シミ ュ レ ーション 波形 で 攻撃 で き な 今回 は 攻撃 の 種類 の 一 つ , DPA differential Power 
けれ ば , 実 チ テッ プ で も 攻撃 で き な い 」 と いう こと で は あり analysis) を 行っ て み ま し た . DPA に つい て の 簡単 な 説明 
ませ ん . し た が っ て , きち ん と し た 理論 的 裏づけ の ある 対 は 次 の と お り で ず 詳細 は , 本 特集 第 2 章 , 第 3 章 , お よび 
策 を 行い , その 有効 性 を 確認 する 手段 と し て シミ ュ レ ー シ 参考 文献 2),( 3) を 参照 の こと ). 

ョ ン を 用 いる べき で す . e 組み 合わ せ 回 路 の 消費 電力 は , 通常 , その 入力 値 ! 


SEimesoa]e ゲー ト 図 
1pg Strength 2 
各種 宣言 が ある が 鐘 人 ダー トド 回 ゲート 回 
全部 無視 較 Strength 4 い 、 Strength 11/^ | Strength 1 
SenddefFinitions Send ヽ い 、 上 
#0 メ 0 が 
$dumpvars 凶 どの ゲー ト の 貫 通電 流 と 凶 どの 配線 も 同一 容量 と 較 
較 スル ー レ ー ト も 一 定 値 と 図 みな され る 名 
#160600 みな され る 図 了 の 
oph 時 刻 160600ps に 図 
SN 3 行 分 較 合計 3 個 の スイ ッ チ ング | 
9 どこ の スイ ッ チ ング で あっ て も , 1 回 当たり の 図 
上 電力 消費 は 一 定 値 と みな され る 較 
図 5 VCD フ ァイル か ら ス イッ チン グ 回 数 を 読み 取る 図 6 スイ ッ チ ング 回 数 か ら 電力 波形 を 予測 する 場合 の 誤差 
VCD フ ァイル に は , どの 時 刻 に どの 信号 線 の 値 が 変化 し た か が 記録 され て スイ ッ チ ング 回 数 の みか ら 電力 波形 を 予測 する 場合 , ご の ゲー ト で も 1 回 の 
いる . スイ ッ チ ング 回 数 を 調べ る に は , 簡単 な 行 数 カウ ント ・ プ ログ ラム を スイ ッ チ ング で 消費 され る 電力 が 一 定 , と いう 仮定 が ある こと に 注意 . 実際 
作れ ば 十分 . に は , 配線 容量 や その ほか の 違い が ある の で 一 定 で は な い . 
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AddRoundKey 


ス 5 
イ 
ご ッ 4 
2 
図 7 グ 3 
AES 暗号 回 路 に お ける 1 ラウ ンド 分 の 電力 還 1l | | 
Rh の 数 2 導 岬 MM リ | 
波形 の 例 図 ぐ 四 上 人 | 間 MI 
典型 的 な AES 回 路 で は ,「 ラウ ンド 」 と 呼ば れる | 用 | 中 開 則 員 ] 
演算 処理 を 1 クロ ッ ク に 1 回 行う .1 ラ ウン ド 分 骨 | 山 用 誕 必 
) 組み 合 こ な る が , 回 LIM 出 N 
に al 笠寺 4P2 和 上 和 4 320000 321000 322000 200 324000 325000 
た くさ ん 発生 し ( 図 の 上 段 の シミ ュ レ ーション ! S_-B ! 
波形 )、 クロ ッ ク が 立ち 上 が っ た 後 の ス イッ チン クロ ッ ク 較 ! ai 1 
グ 回 数 変化 は 図 下段 の よう に 時 間 幅 を 持つ . 立ち 上 が り MixColumn 回 路 動作 中 凶 ” 


Design Wave Magazine 2006 February 129 


お ける ゲー ト の スイ ッ チ ング 確率 


て 異な る . 回 路 内 部 に 


や 信号 変化 の 伝 描 経路 が , 入力 値 に 依存 する か ら で あ る 
e 入力 値 に よる 消費 電力 の 違い が 非常 に 大 きい な ら , 1 回 


の 暗号 演算 の 電力 波形 か ら そ の まま 暗号 化 の か ぎ を 読 
取れ る こと が ある これ が SPA や EMA ) 

e 違い が 微小 で あっ て も , 多量 の 演算 を 行っ て 平均 の 電 
波形 を と る と , 入力 値 に よる 差分 が 現れ る の で か ぎ を 推 
定 で きる これ が DPA や DEMA. 図 8) 

図 9 に , シミ ュ レ ーション で AES 暗 号 回 路 の 予測 電力 波 

形 を 作り , DPA 攻撃 に 成功 し た 例 を 示し ます . 図 に お いて , 


ある 入力 信号 : 推定 値 実際 の 値 戸 


条件 1: 図 
及 が か ぎ に 依 存する 図 
条件 2: 図 
か ぎの 推定 が まち が っ て いる な ら , 較 
及 が 1 の 確率 = 0 の 確率 = 1/2 図 
条件 3: 図 
ほか の 入力 信号 は ラン ダム 図 


出 日 


図 


e 平均 消費 電力 は , 且 が 1 か 0 か で 開 り ) が ある b 
* ワー 万 な ら , り を 外 で 観測 で きる 較 
e 万 な ら , を 外 で 観測 で き な い 図 


8 DPA 攻撃 の 原理 


組み 合わ せ 回 路 の ある 入力 ビッ ト 4 に つい て , ほか の 入力 ビッ ト を ラン ダム 
と みな せる 状況 下 で 多量 の デー タ を 流し , 平均 消費 電力 を 測定 する と , 普 
通 , A ニ 1 の と き と 4 0 の と き で 消費 電力 が 異な る . これ を 応用 し て か ぎ 
に 依存 する 信号 の 値 を 推定 し , 電力 差 を 検出 で きる か 否 か で 推定 の 正誤 を 判 
定 する . 


還 ot] 


AddKey: AddRoundKey 図 


Shift : ShiftRows 較 
MiCol : MiColumns 
首 010 
定 
値 
0 
還 0.05 
定 
9 
図 9 な 』 
シミ ュ レ ーション ・ ベ ペー ス に よる AES 暗号 回 路 の DPA 攻 拓 
頭 暗号 演算 回 数 は 10.000) 
1 ラウ ンド 目 終了 時 に お ける レジ スタ の 1 ピッ ト 分 の 値 か ぎ に 差 ou 
依存 ) を 推定 し た . 2 ラウ ンド 目 の 組 み 合わ せ 回 路 と くに $- 図 ~" 


Box) の 平均 電力 波形 を 調べ , 推定 値 = 0 の 平均 波形 と 推定 値 = 
1 の 平均 波形 の 差分 を と る . 推定 値 が び 合っ て いる と 図 の 直線 の 
よう に 明確 な 差 が 表れ る . 推定 値 が まち が っ て いる と , 図 の 十 」 
の よう に 小さ な 差 に な る ( デー タ 数 を 増やし て いく と , や が て 0 
に 収束 ). 
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実線 の グラ フ は 推定 が 正しい 場合 の 差分 を 表し て いま す . 
一 方 ,「 十 」 で 示さ れ て いる グラ フ は 誤っ て 推定 し た 場合 の 
差分 で す . な お , この 実験 に は 約 1GHz 動作 の パソ コン で 
数 十分 の 時 間 , お よび 数 十 G バ イト の ハー ド ・ ディス ク 容 
量 が 必要 で し が 遅延 ミュ レ ーション に いち ば ん コス ト が 
か か る ). 実用 的 な コス ト で 評価 で きる と 言え ます . 


@ 論理 回 路 の 構造 と 電力 解析 攻撃 の や りや すさ 

AES 暗 号 回 路 の 場合 , その 電力 の 大 半 は S-Box と 呼ば れ 
る 組み 合わ せ 回 路 で 消費 され て いま す . し た が っ て , S-Box 
の 回 路 構成 に よっ て 電力 波形 が 大 きく 変わ り , 攻撃 の 難し 
さも 変わ り ま す . 

図 10 に その 例 を 示し ます . S-Box は 8 ビッ ト 入出 力 の 組 
み 合 わせ 回 路 で す が 一 般 的 な AES 回 路 で は 16 個 使わ れ 
る ), これ を 積 和 形 の 回 路 で 作っ た 場合 6 
号 化 処理 の 平均 電力 波形 で DPA 攻撃 で きま す . に 対 
し , BDU binary decision diagram: 二分 決定 グラ フ の を 
も と に セレ クタ ・ ベー ス で 作っ た 場合 は , 10.000 回 で も ま 
だ 攻撃 で きま せん も っ と 多量 の 演算 が 必要 ). この よう な 
結果 に な る お も な 理由 は , セレ クタ の スイ ッ チ ング 確率 に 
セレ クト 信号 値 に よる 偏り が な く , S-Box 全体 で も 入力 値 
に よる 消費 電力 差 が 小さ く な る た め だ と 推定 で きま す . 

さて , 組み 合わ せ 回 路 を 作る と き , テー ブル 真理 値 表 ) 


| ここ の 全 意 の ピッ ト 値 を 失 図 


| she | 


| ssox | 一 と | 


ーー | wecol | ーー| | 


| 正しい 推定 
| 誤っ た 推定 


20000 25000 
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時 間 図 
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か ら 自動 論理 合成 し て し まう こと が よく あります. 回路 設 
計 者 は , 合成 ツー ル が どの よう な 回 路 を 生成 する か な ど 気 
に と め な いで し ょ う . し か し , 図 10 の よう な 大 き な 違 い 
が 出 て きか ね な い の で , 電力 解析 攻撃 の ター ゲッ ト に な り 
そう な 回 路 の 作成 は , ツー ル に 完全 に 任せ 切ら な い ほ う が 
よい で し ょ う . 


ひ の AES 暗号 の RTL 対 策 法 


AES 暗 号 回 路 に つい て , 大 半 の シス テム LSI で 問題 な く 
使え る と 考え られ る 攻撃 対策 法 を 紹介 し ます . パテ ント ・ 
フリ ー で ある うえ , RTL で 対策 で き , ユ ス ト も それ ほど か 
か ら ず に 済み ます . 


@ ラン ダム ・ マ スク 法 の 基本 的 な アイ デア 
ここ で は , いく つか ある 対策 法 の うち ,「 ラン ダム ・ マ 


内 
5 
+ 


- 0.15 ト | 推定 が 正しい 場合 と (| 


違う 場合 が , ほぼ 同じ 


図 只 は 瑞 苦 午 Sー 南 同 避 Y 〇 宙 財 矢 
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図 具 二 本 苦 寺 9 一 責 周 苑 Y 〇 夫人 同居 


0 5000 10000 時 間 較 20000 25000 30000 


( b) 積 和 葉 100000 デ ー タ で も 攻撃 成功 ) 較 
図 10 AES の S-Box の 論理 回 路 構成 に よる 攻撃 難易 度 の 
変化 
同じ 演算 を 行う 回 路 で も , その 論理 回 路 構成 方 法 は いく つも あ 
る . 入力 値 が 違っ て も 消費 電力 が あま り 変 わら な いよ うな 回 路 
構成 に する と , 電力 解析 攻撃 は 行い に くく な る . 


ーー 


スク 法 」 と 呼ば れる も の を 使い まず 図 11). その アイ デア 
は , 図 1《 b) の よう に 回 路 内 の ワイ ヤ 値 を | 本 来 の 値 † 乱 
数 X」 と する こと で なお, ここ で は ガロ ア 体 の 演算 を 行 
っ て いる の で , 十 は 整数 加算 で は な く XOR を 意味 する . 以 
下 同じ ). 電力 波形 が 乱数 に よっ て か く 乱 さ れる の で , 攻 
撃 が 難し く な り ま す . な お , 乱数 * メ は 外部 で 生成 し し で き 
れ ば 疑似 乱数 で な く , 物理 乱数 が よい ), AES 暗 号 処理 を 
1 回 行う ご と に 切り 替え ます . 

も ちろ ん , 普通 の AES 暗 号 回 路 に 対し て 平文 X」 を 
入力 し て し まっ て は , 出力 か ら 暗号 文 を 抽出 で きま せん . 
この た め 暗号 文 † X」 が 出力 され る よう に 内 部 演算 を 数 学 
的 に 改造 する の で す が , これ が いち ば ん 難し いと ころ で 
す 注 6 AES で は 以下 に 紹介 する 方 法 で うま く 改 造 で き て 
いる の で す が , DES な ど で は 数 学 的 改造 が 難し く , 回 路 を 
プロ グラ マブ ル 化 する と いう 代替 法 が あり まず 図 12). こ 


ロ 


注 6: の メ 々 か ら # の ) 十 々 を 数 学 的 に 求め る こと が で きる か どう か が 問題 で 
ある . ここ で ,「 り 十 と え か ら 元 の り を 求め , / の ) を 計算 し , え を 
足し て { の ) 十 メ に 戻す 」 な ど と し て は , # の ) 計算 の 消費 電力 が 乱数 で 
か く 乱 さ れず , 何 の 意味 も な く な っ て し まう . それ ゆえ に 上 難しい. 


乱数 メ 


改造 ShiftRows 
V3 十 X 
Columns 


vV4 十 


AddRoundKey 


暗号 文 暗号 文 と 
( a) 普通 の AES 処 理 較 ( b) ラン ダム ・ マ スク を 使っ た AES 処 理 区 


図 11 電力 解析 攻撃 に 対す る 現実 的 防御 湾 ラン ダム ・ マ スク 」 

電力 解析 攻撃 に 対す る 対策 法 の うち , 通常 の シス テム LSI に も っ と も 適し て いる と 思 
われ る の が ラン ダム ・ マ スク 法 で ある . これ は , 暗号 演算 の 中 間 値 に 乱数 を XOR し 
た 状態 に する も の で ある . 乱数 は 1 回 の 暗号 処理 ご と に 切り 替え る . 電力 波形 が 乱数 
で か く 乱 され る ので, 攻撃 が と て も 難し く な る . 正しい 演算 結果 が 得 ら れる よう に, 
内 部 演算 回 路 の 改造 が 必要 . 
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図 13 ラン ダム ・ 
入力 デー タ を , 乱 


逆 同 型 写像 と ア 
( 一 つの XOR マ 


ニコ 
S へ 


前 処理 部 較 


マス ク 用 AES S-Box 回 路 


数 を X と し た と き , り 十 を 入力 と し て , S-BoxX り ) 十 メ を 出力 する 回 路 で あ 
る . ガロ ア 体 の 同型 性 を 使い , 合成 体 と 呼ば れる 体 の 上 で 演算 する . 


入力 の 図 ! 
上 位 半 分 図 
( b) S-Box を LUT に し て , 随時 書き 換え 較 
図 12 ラン ダム ・ マ スク 法 の 一 種 の アレ 入力 の 図 
ンジ AES で は 使わ な い ) 下位 半分 鐘 : 


乱数 を 加え た デー タ に 対し て 正しく 演算 で きる 
回 路 を , つね に 組め る と は 限ら な い . その 場 
合 ,( a) の よう に XOR する 乱数 値 を 限定 し て 
すべ て を 回 路 化す る , また は ( b) の よう に 回 路 
を プロ グラ マブ ル 化 し て し まう , と いう 代替 法 
が ある . いずれ も 回 路 規模 が 増大 する . 


の 場合 , コス ト 的 に 大 き な 負 担 が か か り ま す . 
人 @ 現在 知ら れ て いる 手法 の 限界 
実は ,。 ラン ダム ・ マ スク 法 に 完全 な も の は まだ 存在 し ま 
せん .「 理論 的 に 攻撃 不能 と な る わけ で は な い が , 攻撃 難 
易 度 は 大 幅 に 向上 する 」 と いう 理解 の も と で 使っ て くだ さ 
い . 専門 的 に な り ま す が , これ か ら 紹介 する 方法 も 次 の 点 
で 完全 で は あり ませ ん 現時 点 で 学会 に お いて 議論 され つ 
つ あ る と ころ . 参考 文献 5) な ども 参照 ). 
e 高階 差分 攻撃 HO-DPA) と 呼ば れる も の に は 対策 で き て 
いな い 
e 回 路 の 形式 モデ リン グ に 実際 と 異な る 面 が ある .「 ゲー 
ト 遅延 =0). スイ ッ チ ング 確率 の ラン ダム 性 = ニワ イヤ 値 
の ラン ダム 性 」 と いう 仮定 が な され て いる 
た だ し , 後述 し ます が , 不 完全 だ か ら 無 意 味 だ と 
け で は な く , 実際 に は か な り の 効果 が あり ます . 


いう わ 


@⑯ AES 回 路 の ラン ダム ・ マ スク 化 
それ で は , ラン ダム ・ マ スク 手法 を 導入 し た AES 暗 号 
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へ 


図 14 合成 体 GE(( 2222) 上 の 逆 元 演算 回 路 マス ク の な い 通 常 AES 用 ) 


部 分 体 CK(( 2②②2) の 演算 回 路 の 組み 合わ せ で ある . 
CGC 22) の 演算 回 路 を 用 い , この 図 と まっ た く 同じ 構成 で 作る . 


図 中 の G(( 22) 2 2) の 逆 元 演算 は , その 部 分 体 


回 路 に つい て 説明 し ます . 
全体 構成 は 図 11 の と お り で す が , 外 か ら 与 える 乱数 と し 
て , 128 ビ ッ ト の * だ け で な く , 64 ビ ッ ト の も 追加 し ま 
す . 平文 に XOR す る の は で , Y は AES 内 部 で 使い ます . 
か な め と な る の は , S-Box 正確 に は SubBytes) の 構成 
法 で す が , それ は 後述 する こと と し , ほか の 基本 演算 の 
構成 に つい て 先 に 説明 し ます . まず , AddRoundKey に つ 
いて は , 単なる XOR な の で 改造 の 必要 は あり ませ ん . Mix 
Columns に つい て は ,「 MixColumn% 入力 + え ) 十 X」 と い 
う 回 路 を まず 構成 し ます . これ は XOR マ トリ ックス に な 
る の で , XOR を と る 順番 を 入れ 替え , 乱数 々 の XOR を 最 
終 段 で 行う 形 に し ます . ShiftRows も MixColumns と 同じ 
よう に 改造 し ます . 


@ 合成 体 を 使っ た ラン ダム ・ マ スク 用 S- Box 

図 13 に , ラン ダム ・ マ スク 用 の S-Box の 回 路 構造 を 示し 
ます . この 回 路 は , 8 ビッ ト の デー タ り , 8 ビッ ト の 乱数 え 
回 路 に 与え られ た 128 ビ ッ ト の の 一 部 の こと ), 4 ビッ ト 
の 乱数 X※ これ も 与え られ た T 了 の 一 部 ) に 対し ,{ の り 十 叉 , 


部 分 体 の 較 
マス ク 付 き 
逆 元 演算 較 
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前 処理 部 剛 


補正 項 計算 部 員 


ズリ ーー ターー オ ーー | 
EE 立 RM 
ーー | 錠 の 図 


下位 半分 較 


( a) 全体 構造 較 


( b) 補正 項 計算 部 凶 


Y) の 三 つ を 入力 と し て S-BoX り ) 十 の 値 を 出力 し ます . 
S-Box の 内 部 演算 に は , ガロ ア 体 の 一 種 で ある 合成 体 と 
いう も の を 使い ます . S-Box は ガロ ア 体 の 逆 元 演算 に 補助 
演算 を 追加 し た も の で す が , 合成 体 を 使う と 際立っ て 小 規 
模 な 回 路 に な る と いう 特徴 が あり まず 詳細 は 参考 文献 6) 
^( 9) を 参照 ). 

普通 の AES 用 の 逆 元 回 路 を 図 14 に , ラン ダム ・ マ スク 
版 AES 用 の 逆 元 回 路 を 図 1 ほ a) に 示し ます . 図 15 a) の 
回 路 で は , 図 14 の 前 処理 部 を 二 つ 使 いま す . その 内 部 
路 は 図 14 と 同じ で す . また , 補正 項 計 算 部 図 15 b)) と 
いう ブロ ッ ク を 追加 し ます . 図 14 に お ける 部 分 体 の 逆 元 
演算 は , 部 分 体 の マス ク 版 逆 元 演算 に 置き 換わり ます . つ 
まり , マス ク な し の 場合 と 同じ く , 再帰 的 な 回 路 構造 を と 
り ま す . 図 14 の 終 段 の 乗算 器 は , 出力 計算 部 図 1 c)) 
と いう ブロ ッ ク に 置き 換わり ます . 

以上 の 回 路 が どの よう な 考え か た で 設計 され て いる の か 
に つい て は , 参考 文献 を 参照 し て くだ さい . 


回 


⑯ マス ク あ り で も 規模 , 遅延 と も に 問題 な し 
S-Box 単体 の 回 路 性 能 を 表 2 に 示し ます . 回 路 規 模 は , 
普通 の AES で 使わ れる 自動 合成 SrBox と 比べ て 大 差 あ り ま 


( c) 出力 計算 部 上 半分 . 下 半 分 も 同様 ) 較 


ーー 
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) SH を: 盗 聴 2 か ら 守 る 


『 地 号 回 路 ペ の サイ ド チ ャ ネル 攻撃 と その 対策 
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表 2 ラン ダム ・ マ スク 用 AES S-Box の 回 路 
性 能 の 例 

回 路 の 遅延 上 や や 大 き め に な る が , 問題 な い 範囲 で 
ある . ラン ダム ・ マ スク 法 を 採用 し た に も か か わら 
ず , マス ク な し の 場合 と 比べ て も 大差 な い 規 模 の 
AES 回 路 を 作る こと が 可能 . 


回 路 サ イズ 
( 2 入力 NAND 換算 ) 
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図 15 

合成 体 GK((( 22).222 う 上 の 逆 元 演算 回 路 
( ラン ダム ・ マ スク 用 ) 

マス ク の な い 場 合 と 同じ で , 部 分 体 の 演算 回 路 を 使っ て 
再帰 的 な 構成 で 作る こと が で きる . 演算 の 接続 順序 は , 
この 図 の と お り に する こと . 


せん . 遅延 は や や 増え ます が , 大 き な 問 題 に な る ほど で は 
あり ませ ん . AES 回 路 全 体 で は , 攻撃 対策 を 施し て いな い 
AES 回 路 に 劣ら な い 回 路 性 能 を 達成 で き て いま す . 合成 体 
を 使わ な けれ ば , 図 12 に 示し た 方 法 を と ら ざ る を えな く 
な る の で こう は いき ませ ん . 

ラン ダム ・ マ スク 版 AES 回路 に 対し て , シミ ュ レ ー シ 
ョ ン 上 で DPA 攻撃 を 行っ た 例 を 図 16 に 示し ます . 理論 的 
に 完全 で な い 面 は 残っ て いる も の の , 攻撃 の 難易 度 を 上 げ 
る に は 大 き な 効 果 が あり ます . か ぎの 推定 が 合っ て いる 場 
合 と まち が っ て いる 場合 で 平均 電力 差分 が ほぼ 同じ 形 に な 
る た め , プロ セス 微細 化 に 頼っ た り , 論理 構成 を BDD に 
変え た りす る より は, 段違い に 安全 に な る と 言え ます . 


@ 実際 に 回 路 化す る うえ で の 注意 

この 回 路 に 限ら ず , ラン ダム ・ マ スク 法 を 利用 する うえ 
で は , 回 路 中 の 各 演算 器 の 接続 順序 を 崩さ な いよ うに し て 
くだ さい . 対策 の 有効 性 に 影響 を 与え る 場合 が ある か ら で 
す . この た め , 各 演 算 器 を コン ポー ネン ト 化し た うえ で フ 
ラッ タリ ング せ ず に 合成 する な ど , 論理 合成 の や りか た に 
も 気 を 配っ て くだ さい . 

最後 に , シス テム LSI に セキ ュ リ ティ 処理 を 組み 込む う 


Design Wave Magozine 2006 February 133 


正しい 推定 - 図 
誤っ た 推定 回 


推定 が 正しい 場合 了 


- 0.01 


正しい 推定 - 上 


誤っ た 推定 隊 


図 具 二 環 苦境 9 一 周 貢 (Y 〇 軍人 財 功 


- 0.08 推定 が 違う 場合 了 
- 0.12 | | 推定 が 正しい 場合 半 -( | ) 


0 


5000 10000 15000 20000 25000 30000 
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- 003 上 
0 5000 10000 15000 20000 25000 30000 


時 間 較 
( a) マス ク を 使わ な い 普 通 の AES で は 攻撃 成功 図 
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